http://www.secuobs.com L'observatoire de la securite Internet fr webmaster@secuobs.com L’outil libre BlindElephant, créé par la société franco-américaine Qualys applique une technique de prise d’empreinte statique pour déterminer précisément les versions des applications web. http://www.secuobs.com/news/05082010-qualys-blind-elephant.shtml http://www.secuobs.com/news/05082010-qualys-blind-elephant.shtml L’outil libre de la jeune société française Arxsys, qui a remporté le prix de l’innovation des Assises de la Sécurité 2010, est un environnement dédié au recueil de preuves numériques. http://www.secuobs.com/news/05082010-dff-arxsys.shtml http://www.secuobs.com/news/05082010-dff-arxsys.shtml USBsploit: PoC for dumping files from remote USB drives on multiple targets at the same time. It works through Meterpreter sessions with a light (24MB) modified version of Metasploit. The interface is a modified version of SET. usbsploit.rb can be used with the original Metasploit Framework. http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_5.shtml http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_5.shtml USBsploit: PoC for dumping files from remote USB drives on multiple targets at the same time. It works through Meterpreter sessions with a light (24MB) modified version of Metasploit. The interface is a modified version of SET. usbsploit.rb can be used with the original Metasploit Framework. http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_4.shtml http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_4.shtml USBsploit: PoC for dumping files from remote USB drives on multiple targets at the same time. It works through Meterpreter sessions with a light (24MB) modified version of Metasploit. The interface is a modified version of SET. usbsploit.rb can be used with the original Metasploit Framework. http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_3.shtml http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_3.shtml USBsploit: PoC for dumping files from remote USB drives on multiple targets at the same time. It works through Meterpreter sessions with a light (24MB) modified version of Metasploit. The interface is a modified version of SET. usbsploit.rb can be used with the original Metasploit Framework. http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_2.shtml http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_2.shtml USBsploit: PoC for dumping files from remote USB drives on multiple targets at the same time. It works through Meterpreter sessions with a light (24MB) modified version of Metasploit. The interface is a modified version of SET. usbsploit.rb can be used with the original Metasploit Framework. http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_1.shtml http://www.secuobs.com/news/14072010-usbsploit_v0.1b_meterpreter_msf_1.shtml Harald Welte a présenté lors du SSTIC son projet OsmocomBB, qui est destiné à offrir une implémentation libre de la norme de téléphonie mobile GSM. http://www.secuobs.com/news/18062010-osmocombb-sstic.shtml http://www.secuobs.com/news/18062010-osmocombb-sstic.shtml En séparant distinctement les données et le code, Interpolique vise à lutter contre des attaques comme les XSS et les SQLi. Il se caractérise de plus par sa volonté de dé-responsabiliser en partie les développeurs sur ces problématiques et compte sur sa transparence pour être adopté à l'avenir. http://www.secuobs.com/news/17062010-interpolique_xss_sqli_black_hat.shtml http://www.secuobs.com/news/17062010-interpolique_xss_sqli_black_hat.shtml En ouverture du SSTIC, Bernard Barbier, directeur technique de la DGSE a présenté son organisation et annoncé le recrutement de 100 ingénieurs par an à partir de cette année. http://www.secuobs.com/news/15062010-dgse-sstic.shtml http://www.secuobs.com/news/15062010-dgse-sstic.shtml La preuve de concept HoneyBot vise à démontrer la faisabilité et l'efficacité des attaques automatisées utilisant à grande échelle l'ingénierie sociale pour cibler les services de messageries instantanées. Ses évolutions futures tendent vers le ciblage des utilisateurs de réseaux sociaux. http://www.secuobs.com/news/11062010-honeybot_social_engineering_mitm.shtml http://www.secuobs.com/news/11062010-honeybot_social_engineering_mitm.shtml POET (Padding Oracle Exploitation Tool) automatise l'exploitation d'une vulnérabilité liée aux applications Web reposant sur la plateforme de développement JavaServer Faces. Les impacts sont des fuites d'informations sensibles, voir le contournement de CAPTCHA et l'exécution de codes arbitraires. http://www.secuobs.com/news/08062010-poet_padding_oracle_javaserverfaces.shtml http://www.secuobs.com/news/08062010-poet_padding_oracle_javaserverfaces.shtml L’outil PDF Dissector de la société Zynamics est destiné à faciliter l’analyse des fichiers PDF malveillants, ces derniers étant des vecteurs importants de transmission de malware. http://www.secuobs.com/news/04062010-pdf-dissector.shtml http://www.secuobs.com/news/04062010-pdf-dissector.shtml Qubes OS Beta 1 devrait permettre de profiter de l'implémentation du concept de machines virtuelles jetables. Afin de réduire les risques globaux liés à une éventuelle compromission, elles permettront de lancer rapidement des applications spécifiques au sein d'environnements isolés à usage unique. http://www.secuobs.com/news/03062010-disposable_virtual_machine_qubes_os.shtml http://www.secuobs.com/news/03062010-disposable_virtual_machine_qubes_os.shtml Le produit de contrôle d’accès pour administrateurs de la société française Wallix est sorti en version 2.1. Au menu, des performances améliorées, un reporting plus détaillé, et des fonctions de prévention d’intrusions ou de fuites de données. http://www.secuobs.com/news/01062010-wallix-admin-bastion-2-1.shtml http://www.secuobs.com/news/01062010-wallix-admin-bastion-2-1.shtml Après Dranzer pour les contrôles ActiveX, le CERT publie Basic Fuzzing Framework un nouvelle solution Open Source de tests par Fuzzing afin de faciliter l'identification et l'élimination des vulnérabilités au sein des applications logicielles. http://www.secuobs.com/news/27052010-basic_fuzzing_framework_cert_bff.shtml http://www.secuobs.com/news/27052010-basic_fuzzing_framework_cert_bff.shtml Le Tabnabbing est un nouveau type d'attaques par Phishing visant à modifier le contenu d'un onglet déjà ouvert et cela après une période définie d'inactivité. Elle part du principe que la vigilance est moindre dès lors que des actions malicieuses interviennent sur un onglet ouvert préalablement. http://www.secuobs.com/news/25052010-tabnabbing_firefox_phishing.shtml http://www.secuobs.com/news/25052010-tabnabbing_firefox_phishing.shtml RIPS est un nouvel outil gratuit et Open Source qui permet d'effectuer de façon automatisée des analyses statiques sur le code source d'applications développées en PHP. Il se caractérise notamment par sa rapidité d'exécution lors de l'analyse d'applications PHP de tailles importantes. http://www.secuobs.com/news/25052010-rips_analyse_statique_php_gratuit.shtml http://www.secuobs.com/news/25052010-rips_analyse_statique_php_gratuit.shtml La nouvelle version de la norme HTML5 devrait être progressivement adoptée par les navigateurs dans les années à venir. Les nouvelles fonctionnalités présentes (et souvent déjà employées par différents sites via des bibliothèques ad-hoc) peuvent être utilisées de différentes manières. http://www.secuobs.com/news/21052010-html5-securite.shtml http://www.secuobs.com/news/21052010-html5-securite.shtml Metasploitable est une image au format VMWare 6.5 qui consiste en un système d'exploitation de type Ubuntu 8.04. Cette dernière présente plusieurs vulnérabilités facilement exploitables qui permettent de faciliter l'apprentissage de l'environnement d'exploitation Metasploit par les novices. http://www.secuobs.com/news/20052010-metasploitable_metasploit_vm_ubuntu.shtml http://www.secuobs.com/news/20052010-metasploitable_metasploit_vm_ubuntu.shtml L’éditeur de logiciels antivirus Eset organise en partenariat avec Athena Global Services un concours destiné aux étudiants en informatique. http://www.secuobs.com/news/10052010-concours-crackme-eset-athena.shtml http://www.secuobs.com/news/10052010-concours-crackme-eset-athena.shtml L’éditeur de logiciels de sécurité spécialisé sur le marché des PME a annoncé le lancement de deux nouveaux services, MailProtection issu du rachat de Katharion, et MailEdge. http://www.secuobs.com/news/06052010-gfi-mail-protection.shtml http://www.secuobs.com/news/06052010-gfi-mail-protection.shtml Laurent Gaffié de la société Stratsec a présenté sa technique de recherche de vulnérabilités dans les applications SMB lors de la première édition de la conférence Hackito Ergo Sum qui avait lieu à Saint-Ouen. http://www.secuobs.com/news/22042010-hackito-ergo-sum-fuzzing-smb.shtml http://www.secuobs.com/news/22042010-hackito-ergo-sum-fuzzing-smb.shtml Le fabricant de matériel réseau américain Aruba Networks, spécialisé dans les solutions sans fil, a lancé la version 2.0 de sa solution VBN, permettant de déployer facilement des sites distants, notamment dans l’optique du télétravail. Elle est associée à des services de sécurité de type « cloud ». http://www.secuobs.com/news/20042010-aruba-vbn-2-0.shtml http://www.secuobs.com/news/20042010-aruba-vbn-2-0.shtml NyxEngine permettrait de vérifier l'ensemble des octets d'une archive afin de s'assurer que cette dernière ne contient pas de codes d'exploitation. Il serait également capable d'identifier l'ensemble des données pouvant être dissimulées à l'aide de procédés stéganographiques dans une archive. http://www.secuobs.com/news/13042010-nyxengine_archive_steganography.shtml http://www.secuobs.com/news/13042010-nyxengine_archive_steganography.shtml Artemisa est un projet Open Source qui se destine aux réseaux de type VoIP implémentant le protocole SIP. Ce Honeypot s'accompagne de plusieurs scripts Bash qui vont permettre d'ajuster automatiquement les règles de filtrage en fonction des classifications effectuées préalablement par ses soins. http://www.secuobs.com/news/13042010-artemisa_honeypot_voip_sip_firewall.shtml http://www.secuobs.com/news/13042010-artemisa_honeypot_voip_sip_firewall.shtml Qubes OS est un nouveau système d'exploitation qui se veut plus robuste et qui se base sur XEN, Intel VT-d et TPM. Il isole les différents composants du système et les applications au sein de machines virtuelles afin de réduire les risques de compromission globale via celle d'une seule VM. http://www.secuobs.com/news/06042010-qubes_os_xen_vt-d_tpm_isolation.shtml http://www.secuobs.com/news/06042010-qubes_os_xen_vt-d_tpm_isolation.shtml MalaRIA est une preuve de concept qui démontre les risques liés aux attaques CSRF via une RIA malicieuse. Elle fournit des RIA Flex et Silverlight, ainsi que d'un Backend Java faisant office de proxy entre le navigateur de l'attaquant, les RIA et donc le navigateur de la victime. http://www.secuobs.com/news/08042010-malaria_flex_silverlight_csrf.shtml http://www.secuobs.com/news/08042010-malaria_flex_silverlight_csrf.shtml Ubitack est une interface multi-tâches permettant de faciliter l'exploitation des réseaux sans-fil de type WiFi. Outre le Sniffing et le cassage automatisé du WEP, de nombreuses attaques sont ainsi disponibles et notamment la mise en place de Rogue AP, de Man In The Middle et de SideJacking. http://www.secuobs.com/news/05042010-ubitack_wepbuster_sslstrip_rogue_ap.shtml http://www.secuobs.com/news/05042010-ubitack_wepbuster_sslstrip_rogue_ap.shtml PWnat est un outil qui permet d'établir une communication client/serveur entre des hôtes qui sont situés derrière des NAT différents et cela sans avoir à recourir à des configurations externes comme de la redirection de port. http://www.secuobs.com/news/04042010-pwnat_tunnel_udp_tcp_nat_icmp.shtml http://www.secuobs.com/news/04042010-pwnat_tunnel_udp_tcp_nat_icmp.shtml Yataglass est une nouvelle solution de détection des codes offensifs qui vise à contrer les attaques les plus sophistiquées. Il permettrait notamment de détecter et d'analyser celles qui reposent sur l'utilisation de techniques avancées d'évasion. http://www.secuobs.com/news/29032010-yataglass_emulation_shellcode.shtml http://www.secuobs.com/news/29032010-yataglass_emulation_shellcode.shtml Contrairement aux solutions existantes, ThreatMetrix offre une solution se basant sur l'analyse de données anonymes. Le profilage des dispositifs d'accès permet ainsi de lutter contre les fraudes transactionnelles sans pour autant recourir à la collecte de données personnelles d'identification. http://www.secuobs.com/news/22032010-threatmetrix_anonymous_data_fraud.shtml http://www.secuobs.com/news/22032010-threatmetrix_anonymous_data_fraud.shtml Google, via Michal Zalewski, vient de publier Skipfish, un scanner Open Source destiné à auditer la sécurité des sites et des applications Web. Ses caractéristiques premières devraient être de hautes performances et un faible taux de faux positif dans les rapports d'audit. http://www.secuobs.com/news/21032010-google_skipfish_scanner_web_audit.shtml http://www.secuobs.com/news/21032010-google_skipfish_scanner_web_audit.shtml VASTO est un ensemble de modules Metasploit qui sont destinés à exploiter des vulnérabilités au sein des infrastructures virtuelles. Une fonctionnalité de cassage des mots de passe par force brute est également proposée par VASTO. http://www.secuobs.com/news/16032010-vasto_metasploit_virtual_vmware_xen.shtml http://www.secuobs.com/news/16032010-vasto_metasploit_virtual_vmware_xen.shtml Hogger est un nouvel outil en Perl qui vise à automatiser la création des tables d'attributs spécifiques à Snort. Les fichiers XML en résultant sont ainsi créés à partir des résultats en sortie d'un scan Nmap. http://www.secuobs.com/news/16032010-hogger_snort_nmap_attributes_tables.shtml http://www.secuobs.com/news/16032010-hogger_snort_nmap_attributes_tables.shtml Imposter est une plateforme de Phishing ciblant les navigateurs. En plus d'offrir la récupération de fichiers, elle facilite l'obtention et la définition de cookies, dont le vol de Flash LSO. La subtilisation des mots de passe Firefox et l'empoisonnement de cache sont également supportés. http://www.secuobs.com/news/06032010-imposter_browser_phishing_framework.shtml http://www.secuobs.com/news/06032010-imposter_browser_phishing_framework.shtml En manipulant finement l’alimentation d’un système utilisant OpenSSL, il est possible de récupérer la clé privée, selon un article publié par trois chercheurs de l’université du Michigan. http://www.secuobs.com/news/05032010-rsa-openssl.shtml http://www.secuobs.com/news/05032010-rsa-openssl.shtml Flint est un scanner visant à vérifier et à nettoyer les règles de filtrage. Il facilite par ailleurs la compréhension des configurations complexes de filtrage, tout en permettant de simuler les mises en production et d'améliorer les performances de traitement des entités filtrantes. http://www.secuobs.com/news/04032010-flint_firewall_scanner_matasano.shtml http://www.secuobs.com/news/04032010-flint_firewall_scanner_matasano.shtml SET (Social Engineering Toolkit) est une plateforme d'automatisation pour les attaques par Social Engineering. Les campagnes offensives, en résultant, peuvent ici prendre la forme d'envois massifs d'emails ou la mise en place de sites Web malicieux. http://www.secuobs.com/news/02032010-set_social_engineering_toolkit.shtml http://www.secuobs.com/news/02032010-set_social_engineering_toolkit.shtml Le challenge Pwn2own, qui a lieu tous les ans lors de la conférence CanSecWest, sera cette année doté de 100 000 dollars de récompenses. http://www.secuobs.com/news/02032010-pwn2own-cansecwest-2010.shtml http://www.secuobs.com/news/02032010-pwn2own-cansecwest-2010.shtml Webraider est un outil d'audit Web qui permet de disposer d'un reverse shell à l'aide d'une simple injection SQL. Une seule requête est requise et l'ensemble ne nécessite pas de canal additionnel. http://www.secuobs.com/news/02032010-webraider_reverse_shell_sqli.shtml http://www.secuobs.com/news/02032010-webraider_reverse_shell_sqli.shtml Un informateur anonyme a récemment dévoilé à un site de news américain un document de travail du traité secret ACTA négocié par plusieurs pays. Le débat est relancé. http://www.secuobs.com/news/01032010-acta.shtml http://www.secuobs.com/news/01032010-acta.shtml Keimpx est un outil permettant de vérifier sur quelles machines d'un réseau Microsoft Windows un attaquant est capable d'obtenir un shell SMB interactif grâce aux éléments qui sont déjà en sa possession. http://www.secuobs.com/news/26022010-keimpx_smb_shell_interactif.shtml http://www.secuobs.com/news/26022010-keimpx_smb_shell_interactif.shtml DNScat est un outil de la suite NBTool qui permet de mettre en place, plutôt aisément, un tunnel de communication entre deux hôtes en utilisant le protocole DNS de résolution de noms de domaine. http://www.secuobs.com/news/25022010-dnscat_tunnel_dns_shell_netcat.shtml http://www.secuobs.com/news/25022010-dnscat_tunnel_dns_shell_netcat.shtml BLADE (Block All Drive-By Download Exploits) est un outil gratuit visant à stopper les téléchargements non-consentis qui sont relatifs aux attaques de type Drive-By Download et qui conduisent à l'installation de programmes malicieux. http://www.secuobs.com/news/23022010-blade_drive_by_download.shtml http://www.secuobs.com/news/23022010-blade_drive_by_download.shtml Dans l’optique du prochain forum international sur la cybercriminalité, qui se tiendra à Lille les 31 mars et 1er avril, une visite du Centre Technique de la Gendarmerie Nationale était organisée. Coup de projecteur sur nos « Experts » nationaux. http://www.secuobs.com/news/18022010-cybercriminalite-fic-gendarmerie.shtml http://www.secuobs.com/news/18022010-cybercriminalite-fic-gendarmerie.shtml La société Core Security Technologies vient d'annoncer que la prochaine version de CORE IMPACT Pro intégrera le support de la plateforme d'exploitation Open Source Metasploit. http://www.secuobs.com/news/16022010-core_impact_pro_support_metasploit.shtml http://www.secuobs.com/news/16022010-core_impact_pro_support_metasploit.shtml La nouvelle version du produit de sécurisation des applications web, xml et ftp de l'éditeur français Deny All est enrichie de nombreuses nouvelles fonctions: haute disponibilité actif/actif, nouvelle inferface Ajax, protection du poste client, des services web, API de configuration, fonctions DLP ... http://www.secuobs.com/news/26012010-rweb-v4-deny-all.shtml http://www.secuobs.com/news/26012010-rweb-v4-deny-all.shtml Une équipe de chercheurs israéliens a publié une attaque contre l’algorithme de chiffrement KASUMI ou A5/3, qui est utilisé par les téléphones mobiles de 3ème génération. http://www.secuobs.com/news/14012010-a5_3-kasumi.shtml http://www.secuobs.com/news/14012010-a5_3-kasumi.shtml L’éditeur russe du pack d’exploit Vulndisco pour Canvas, le produit d’Immunity, a annoncé la publication de nombreuses vulnérabilités non corrigées affectant des serveurs d’annuaires, de bases de données et des serveurs web (Apache ?). http://www.secuobs.com/news/12012010-intevydis.shtml http://www.secuobs.com/news/12012010-intevydis.shtml